WordPressは非常に便利なCMSですが、使用者が増えれば増えるほどクラッカーの標的にされます。そこでWordPressのプラグインSiteGuardの導入をおすすめします。というか絶対に導入したほうがよいです。
SiteGuardは様々なWordPressへの攻撃に対してあらゆる防御をしてくれます。
SiteGuardの主な機能
管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
---|---|
ログインページ変更 | ログインページ名を変更します。 |
画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
ログイン詳細エラー メッセージの無効化 |
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
ログインアラート New | ログインがあったことを、メールで通知します。 |
フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
ピンバック無効化 | ピンバックの悪用を防ぎます。 |
WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成します。 |
中でもおすすめなのが「ログインページ変更」 です。もともとWordPressのログインページはhttp://ドメイン名/wp-login.phpというように決められています。つまり第3者でもそのサイトがWordPressで作成されていると分かれば、ログインページまで安易に辿りつけてしまうのです。
実際にSiteGuardにはログインの失敗と成功を記録する機能があるのですが、デフォルトページの場合、恐ろしい数のアタックがログインページに対して行われることがわかります。IDをadminなどにしている場合は更に要注意です。
また、多少手間になりますが「画像認証」も有効です。ログイン時などに表示された言葉を入力させるもので万が一パスワードが破られてもプログラムによる攻撃の場合はブロック出来ます。
さらに「フェースワンス」はIDとパスワードが正しくても1回はログインを失敗させるという、なんというか、もう管理者ですら時間を置くと二度とログイン出来ない気がするような機能です。
私はログインアドレスも長〜〜〜〜〜いランダムな文字列、パスワードも長〜〜〜〜〜いランダムな文字列を使用していますが、1passwordを使用しているので自分自身は1クリックで簡単にログインできます。画像認証をいれると1passwordから自動ログインが出来ないので使用していません。これでもログインサイトへの攻撃はほぼ回避出来ます。というかログインサイトへまず辿りつけません。おすすめです。
※SiteGuardは非常によく出来ていますが、稀にログインが出来なくなる事があります。もしログインが出来なくなってしまった場合は、こちらのページをご参照ください。また本サイトをご覧になり、利用者に何らかの不具合が生じましても著者は一切責任を負いません。あくまで自己責任でお願いいたします。